Появляется вредоносный скрипт на сайте =(
Страницы: Пред. 1 2
Появляется вредоносный скрипт на сайте =(
Цитата
xschneider пишет:
Если cron, то смотрите в cron.daily, cron.daily, cron.monthly
Либо в самих скриптах которые выполняет cron?
Ну а как он может приблезительно выглядеть этот код который автоматом ставит всё это?
Скачайте самые новые фильмы торент

Бесплатная контекстная реклама

Цитата
Олег Былинкин пишет:
Цитата
xschneider пишет:
Если cron, то смотрите в cron.daily, cron.daily, cron.monthly
Либо в самих скриптах которые выполняет cron?
Ну а как он может приблезительно выглядеть этот код который автоматом ставит всё это?
У меня туго с программированием php, такие вещи делаю на уровне интуиции. Если вижу что-либо подозрительное, сперва смотрю в интернете, а только потом удаляю. Лучше открыть все файлы в cron.daily, cron.daily, cron.monthly и посмотреть куда ведут пути.
И еще вопрос, есть ли еще сайты на серваке?
Чебоксары, netbynet.ru ))))
В Питере тоже есть, в одном жилом комплексе
Цитата
Олег Былинкин пишет:
Подскажите как это остановить?
Самому найти можно и есть темы на форуме - айболит и прочее.

Есть услуги тех, кто этим занимается: _http://www.cy-pr.com/forum/f80/t48012/m795575#message795575
Цитата
Coder пишет:
Цитата
Олег Былинкин пишет:
Подскажите как это остановить?
Самому найти можно и есть темы на форуме - айболит и прочее.

Есть услуги тех, кто этим занимается: _http://www.cy-pr.com/forum/f80/t48012/m795575#message795575
ai-bolit тема конечно, особенно эвристика. Меня неоднократно выручал
Изменено: xschneider - 21 Октября 2014 12:18
Посмотрите в логе access_log за последние пару дней обращения к этим скриптам
dirs.php, renovation.php, title.php, utf.php (или какие у вас создаются). 

Их должны "простукивать". Так можно узнать IP адреса, далее сделать фильтр по IP и посмотреть, к каким еще скриптам были обращения с данных IP. Есть шанс найти и бэкдор.

Если запросов методом POST на сайте мало, то можете также отфильтровать лог access_log по POST и посмотреть, к каким скриптам идут обращения. 
Цитата
Григорий пишет:
Посмотрите в логе access_log за последние пару дней обращения к этим скриптам
dirs.php, renovation.php, title.php, utf.php (или какие у вас создаются).

Их должны "простукивать". Так можно узнать IP адреса, далее сделать фильтр по IP и посмотреть, к каким еще скриптам были обращения с данных IP. Есть шанс найти и бэкдор.

Если запросов методом POST на сайте мало, то можете также отфильтровать лог access_log по POST и посмотреть, к каким скриптам идут обращения.
У меня php.mail.log и maillog показывал, что это скрипты с помощью sendmail спамили сообщениями по 25-му порту а все потому что sendmail настроен как relay. А само веселье началось 10 октября, мне позвонил знакомый саппортер от провайдера, говорит типа более 500 сообщений в секунду по 25 порту шпарит. tcpdump port 25 и показал что правда... mailq - показал что еще 100500 в очереди... конечно я их убрал из очереди
Изменено: xschneider - 21 Октября 2014 12:25
Цитата
xschneider пишет:
Цитата
Олег Былинкин пишет:
Цитата
xschneider пишет:
Если cron, то смотрите в cron.daily, cron.daily, cron.monthly
Либо в самих скриптах которые выполняет cron?
Ну а как он может приблезительно выглядеть этот код который автоматом ставит всё это?
У меня туго с программированием php, такие вещи делаю на уровне интуиции. Если вижу что-либо подозрительное, сперва смотрю в интернете, а только потом удаляю. Лучше открыть все файлы в cron.daily, cron.daily, cron.monthly и посмотреть куда ведут пути.
И еще вопрос, есть ли еще сайты на серваке?
Да есть, а они как то влияют? или в них тоже могли влить плохие скрипты?
Цитата
Григорий пишет:
Посмотрите в логе access_log за последние пару дней обращения к этим скриптам
dirs.php, renovation.php, title.php, utf.php (или какие у вас создаются).

Их должны "простукивать". Так можно узнать IP адреса, далее сделать фильтр по IP и посмотреть, к каким еще скриптам были обращения с данных IP. Есть шанс найти и бэкдор.

Если запросов методом POST на сайте мало, то можете также отфильтровать лог access_log по POST и посмотреть, к каким скриптам идут обращения.
access_log из Apache или в самом сайте?
С именем access_log создает файл только apache. Неудобство в том, что он может быть огромным по количеству строк и размеру. Путь /var/log/httpd/access_log­
Изменено: xschneider - 21 Октября 2014 12:58
Цитата
Coder пишет:
Самому найти можно и есть темы на форуме - айболит и прочее.
Вообще старая тема конечно но вдруг кому пригодится ищите в своих папках eval и удаляйте его без сомнений - без этого кусочка вредоносные скрипты и вирусы работать просто не будут
Страницы: Пред. 1 2
Похожие темы:
Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)
Новые темыОбъявленияСвободное общение
21:24 Яндекс выдача 23.01.2021 /// Письмо было 
15:52 websurf.ru - раскрутка или бан? 
10:43 Резкий рост и падение ссылочной массы 
22:37 РСЯ ужесточает приём сайтов? 
18:53 22.01.2021 выдача 
18:10 Монетизируем 100% adult траффика без остатков. 
17:00 ClickDealer- свои люди на рынке буржа! 
21:48 Продвинутая эмуляция браузера аКа продвинутые парсеры на Selenium 
21:47 PHP программист/10 лет опыта 
20:40 Доработать немножко сложный самописный сайт 
19:20 Раскрутка Instagram, YouTube, TikTok, Twitter, Вконтакте, Telegram, Twitch, Likee - smmservis.ru 
19:10 Эффективный копирайтинг и рерайт. Текстовые презентации. Наполнение с нуля - от идеи до результата. 
17:18 Профессиональное ведение каналов в Ютубе, Белое продвижение, Услуги в соц. сетях 
17:17 ISMM.STORE - Оптовый сервис накрутки в социальные сети 
20:36 Зарабатываем на накопленных 100 000 руб. 
18:39 Золушка 90-х 
14:16 Биткоин квест 3 - собери сиды на картине и забери Битконы 
11:20 А мне, все равно, мне для салата 
23:21 Ты не вписался в модель нищеброда 
19:08 EvaDav - нативная рекламная сеть | CPM | CPA | Пуш-уведомления 
01:30 Всё же построили коммунизм или что-то там?